Клод Шеннон. Теория связи в секретных системах. Свойства ненадежности.
Можно показать, что ненадежность обладает некоторыми интересными свойствами, большинство из которых соответствует нашему интуитивному представлению о поведении величины такого рода. Покажем сначала, что ненадежность ключа или фиксированной части сообщения уменьшается при увеличении количества перехваченного зашифрованного текста.
Теорема 7. Ненадежность ключа НЕ(K,N) — невозрастающая функция N. Ненадежность первых А букв сообщения является невозрастающей функцией N. Если перехвачено N букв, то ненадежность первых N букв сообщения меньше или равна ненадежности ключа. Это можно записать следующим образом:
HE(K,S)
HE(K,N),
SN,
HE(M,S)HE(M,N),
HE(M,N)HE(K,N).
Введенное во втором утверждении ограничение A буквами означает, что ненадежность вычисляется по отношению к первым буквам сообщения, а не ко всему объему перехваченного сообщения. Если отказаться от этого ограничения, то можно получить возрастание ненадежности сообщения (и обычно это имеет место) с увеличением времени просто из-за того, что большее количество букв допускает и большее разнообразие возможных сообщений. Выводы этой теоремы соответствуют тому, на что можно было бы надеяться при разумной мере секретности, так как едва ли можно оказаться в худшем положении при увеличении объема перехваченного текста. Тот факт, что эти выводы могут быть доказаны, дает лучшее подтверждение полезности принятой нами количественной меры ненадежности.
Справедливость утверждений этой теоремы вытекает из некоторых свойств условной энтропии, доказанных в работе "Математическая теория связи". Так, для доказательства первого или второго утверждения теоремы воспользуемся тем, что для любых случайных событий A и B
H(B)HA(B).
Если отождествить B с ключом (при условии, что известны первые S букв криптограммы), а А с остающимися N – S буквами, то мы получим первое утверждение. Аналогично, если отождествить B с сообщением, то получится второе утверждение. Последнее утверждение следует из неравенства
HE(M)HE(K,M) = HE(K) + HE,K(M)
и из того, что HE,K(M) = 0, так как K и E полностью определяют M.
Так как сообщение и ключ выбираются независимо, то
H(M,K) = H(M) + H(K).
Кроме того,
H(M,K) = H(E,K) = H(E) + HE(K),
что вытекает из того факта, что знание M и K или E и K эквивалентно знанию всех трех величин M, K и E. Преобразуя эти две формулы, мы получаем формулу для ненадежности ключа:
HE(K) = H(M) + H(K) – H(E),
В частности, если H(M) = H(E), то ненадежность ключа HE(K) равна априорной неопределенности ключа H(K). Это имеет место в совершенно секретных системах, описанных выше.
Формула для ненадежности сообщения может быть получена аналогичным способом. Мы имеем:
H(M,E) = H(E) + HE(M) = H(M) + HM(E),
HE(M) = H(M) + HM(E) – H(E).
Если имеется произведение секретных систем S = TR, то следует ожидать, что повторный процесс шифрования не уменьшит ненадежности сообщения. То, что это действительно так, можно показать следующим образом. Пусть M, E1, E2 – сообщение и первая и вторая криптограммы соответственно. Тогда
Следовательно,
так как для любых случайных величин х, у, z справедливо Hxy(z)Hy(z) то получаем желаемый результат: .
Теорема 8. Ненадежность сообщения для произведения секретных систем S = TR не меньше ненадежности для одной системы R.
Предположим, что имеется система T, которая может быть записана как взвешенная сумма нескольких систем R,S,...,U
T = p1R + p2S + ... + pmU, ,
и системы R, S, ..., U имеют ненадежности H1, H1, ..., Hm.
Теорема 9. Ненадежность для взвешенной суммы систем ограничена неравенствами
.
Эти границы нельзя улучшить. Здесь Hi могут означать ненадежность ключа или сообщения.
Верхняя граница достигается, например, в строго идеальных системах (которые будут описаны ниже), где разложение производится на простые преобразования системы. Нижняя граница достигается, если все системы R, S, ..., U приводят к полностью различным пространствам криптограмм. Эта теорема также доказывается с помощью общих неравенств, которым подчиняется ненадежность:
HA(B)H(B)H(A) + HA(B),
где A может обозначать данную используемую систему, а B – ключ или сообщение.
Имеется аналогичная теорема для взвешенных сумм языков. Для ее доказательства обозначим данный язык буквой A.
Теорема 10. Предположим, что система может быть применена к языкам L1, L1, ..., Lm и при этом получаются ненадежности H1, H1, ..., Hm. Если система применяется к взвешенной сумме , то ненадежность H ограничена неравенствами
.
Эти границы нельзя улучшить. Рассматриваемая ненадежность может относиться как к ключу, так и к сообщению.
Полная избыточность DN для N букв сообщения определяется с помощью соотношения
DN = log G – H(M),
где G – полное число сообщений длины N, а H(M) – неопределенность выбора одного из них. В секретной системе, где полное число возможных криптограмм равно числу возможных сообщений длины N, имеет место неравенство H(E)log G. Следовательно,
HE(K) = H(K) + H(M) – H(E)H(K) – [log G – H(M)].
Поэтому
H(K) – HE(K)DN.
Из этого видно, что, например, в замкнутой системе уменьшение ненадежности ключа после перехвата N букв не превзойдет избыточности N языка. В таких системах (к ним относится большинство шифров) только наличие избыточности в исходном сообщении и дает возможность нахождения решения.
Предположим теперь, что имеется чистая секретная система. Обозначим различные остаточные классы сообщений через C1, C2, ..., Cr и соответствующие остаточные классы криптограмм через C'1, C'2, ..., C'r. Вероятности всех E из Ci одинаковы:
, E – элемент Ci,
где i – число различных сообщений в Ci. Таким образом, имеем
.
Подставив это значение H(E) в выражение, полученное выше для HE(K), получим следующую теорему.
Теорема 11. Для чистого шифра
.
Это выражение может быть использовано для вычисления HE(K) в некоторых случаях, представляющих интерес.
[Титульный лист] [Предыдущий раздел] [Следующий раздел]
[Начало осмотра] [Что нового] [Статьи] [Выпуски в "Байтах"] [Что скачать] [Криптоалгоритмы] [Глоссарий] [Ссылки] [Гостевая книга] [Форум] [Напиши мне]Версия от 09.03.01. (c) 2001 Андрей Винокуров.